Kişisel verilerin işlenmesinde uyulması gereken temel ilkeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) sıralanmaktadır. Bu ilkelere göre, kişisel veri işleme işlemleri, hukuka ve dürüstlük kurallarına uygun olmalı, işlenen kişisel verilerin güncel ve doğru olması sağlanmalı, veri işleme amaçları açık, belirli ve meşru olmalı, işlenen veriler amaçla bağlantılı, sınırlı ve ölçülü olmalı, ve ilgili mevzuatta öngörülen, işlendikleri amaç için gerekli olan süre boyunca saklanıp bu sürenin ardından silinmeli ya da anonim hale getirilmelidir.
Kişisel verileri işlenen kişilerin; veri sorumlusunun kimliği, veri işleme amaçları, yöntemleri ve hukuki dayanakları, verilerin aktarılabileceği kişiler ve aktarma amaçları, ayrıca kişisel verileri üzerinde kullanabileceği hakları konularında aydınlatılması da kanunda öngörülen yükümlülükler arasındadır. Bu yükümlülüğün yerine getirilmesi için, güncel, kapsamlı ve kişisel verileri işlenen herkesin ulaşıp anlayabileceği, kişisel veri bilgilendirmeleri, gizlilik politikaları oluşturulması önerilmektedir.
KVKK’ na göre verisi işlenen kişilerin; kendisine ait veri işlenip işlenmediğini, işlenmişse şartlarını, amacını ve amaca uygun kullanılıp kullanılmadığını, verilerin aktarıldığı kişileri öğrenme, eksik veya yanlış kişisel verilerin düzeltilmesini, işlenme sebebi ortadan kalkan verilerin silinmesini veya yok edilmesini, bu işlemlerin aktarıldığı kişilerin de bildirilmesini ve işleme sebebiyle zarara uğradıysa bu zararın karşılanmasını isteme, verilerin otomatik sistemlerle işlenmesi sonucu ortaya çıkan olumsuz sonuçlara da itiraz etme hakları vardır.
Kişisel veri işleme amaç ve yöntemlerini belirleyen gerçek veya tüzel kişiler olarak belirlenen kişisel veri sorumlularının, “Kişisel Verilerin Korunması Kurumu” bünyesinde oluşturulacak olan Veri Sorumluları Sicili’ ne veri işleme faaliyetleri hakkında bilgi verilerek kayıt olması zorunludur.
Kişisel Verilerin Korunması, Avrupa’ da ve paralel olarak Türkiye’ de temel insan hakkı olarak görüldüğünden, bu konudaki kurallara aykırılıklarda, giderek artan ağırlıkta yaptırımlar söz konusudur. Kanun’ un aydınlatma yükümlülüklerine aykırılık, sicile kaydolmamak, ve kurul kurallarına aykırılık için öngördüğü cezalar bir milyon Tl. na kadar çıkabilmektedir. Ayrıca Türk Ceza kanunu’ nda, kişisel verilerin hukuka aykırı olarak kaydedilmesi, yayılması, ele geçirilmesi ve yok edilmesi gerektiği halde yok edilmemesi gibi durumlar için dört yıla varan hapis cezaları öngörülmektedir.
Ad ve soyadlarına yer vermeyen, yalnızca adres ve telefon bilgilerinden oluşan bir liste de aslında kişisel veri olarak görülebilir. Çünkü bu adres ve telefon bilgileri üzerinden bir gerçek kişinin kimliğinin belirlenmesi mümkündür. Yine gerçek kişilere atanan numaralar da, mesela bir internet sitesindeki her üyeye atanan üyelik ve işlem numaraları veya bir okuldaki öğrenci numaraları, bir gerçek kişiyle eşleştirilebilir durumda bulunduklarından kişisel verilerdir.
Kişisel veriler üzerinde gerçekleştirilen, kaydetmek, saklamak, değiştirmek, açıklamak, aktarmak gibi tüm işlemler, kişisel veri işlemek olarak tanımlanıyor. Yani bir gerçek kişinin, bilgisini öğrendiğimiz andan, bilgiyi tamamen yok ettiğimiz ana kadar yaptığımız tüm işlemlerle, KVKK’ na göre kişisel veri işlemiş olunur. Bu işleme süreçlerinin hukuka uygun olması için de aşağıdaki şartlardan birisinin gerçekleşmiş olması gerekir;
Kişisel verileri işlenen kişinin açık rızasının bulunması; Kişisel veri işlemenin kanunda öngörülmüş olması, kanuni yükümlülüğün yerine getirilmesi veya bir hakkın kullanılması için zorunlu olması durumunda, kanunda öngörülen veya işlenmesi zorunlu olan kişisel veriler, açık rıza olmadan da işlenebilir. Yine bir sözleşmenin kurulması veya sözleşmedeki yükümlülüklerin yerine getirilmesi için gereken bilgiler de sözleşmenin diğer tarafına ait olması şartıyla rıza olmadan işlenebilir. Buna göre mesela; bir müşteriye kargo yoluyla gönderilen ürün için, müşteriden teslimat bilgilerinin alınıp, yalnızca bu teslimat için kullanılması, teslimat bilgilerinin işlendiği süre için, müşterinin açık rızası gerekmez. Rızasını açıklayamayacak kişilere ait kişisel verilerin zorunlu durumlarda işlenmesi veya kişiye zarar vermediği sürece işlemenin veriyi işleyen kişinin menfaatleri için zorunlu olması hallerinde de kişisel veriler açık rızaya gerek olmadan işlenebilir.
Kişisel veri işleme süreçlerinin hukuka uygun olması için, veriler elde edilirken açık rızaya veya kanunlarda öngörülen diğer istisnalara dayanılması yeterli değildir. Kanun, kişisel verilerin işlenmesinde uyulacak başka kurallar da sıralamaktadır. Sektör bazında tabi olunan diğer düzenlemelerle birlikte göz önünda bulundurulması gereken bu yükümlülükler ve kurallar şunlardır;
- Kişisel verilerin üçüncü kişilere aktrılması için, ilgili kişinin açık rızasının bulunması veya kanunlarda gösterilen, yukarıda belirtilen istisnalar gibi kurallara dayanılması gerekir.
- Kişisel verilerin yurtdışına aktarılabilmesi için ise daha da ağır şartlar öngörülmektedir. Yine kişinin açık rızasının alınması, yurtdışına aktarının hukuka uygun olmasını sağlayacaktır. Ancak, eğer kanuni istisnalara dayanılarak veriler yurtdışına aktarılacaksa, aktarım yapılacak ülkelerin Kişisel Verileri Koruma Kurulu tarafından belirlenecek güvenli ülkeler arasında yer alması ya da yurtdışındaki veri aktarılacak kişilerin, Kişisel Verileri Koruma Kurul’ u tarafından uygun bulunacak şekilde yeterli korumayı taahhüt etmesi gerekir.
- İşlenen kişisel verilere yetkisiz kişilerin erişmesini engelleyecek tüm güvenlik tedbirlerinin alınması gereklidir, Bu tedbirlerin bazıları verilerin şifrelenmesi, iletim ve saklama esnasında güvenliği sağlayacak firewall gibi teknolojiler, bilişim teknolojileri altyapısının bulunduğu ortamın fiziksel güvenliği ve etkili yetkilendirme ve doğrulama prosedürleri olarak görülebilir. Tedbirlere rağmen, verilerin yetkisiz kişilerin eline geçmesi durumunda da , durumun verisi ele geçirilen kişilere ve Kişisel Verileri Koruma Kurulu’ na bildirilmesi de zorunlu tutulmaktadır.
Özel nitelikli kişisel veriler, elde edildiği takdirde belirli veya belirlenebilir bir kişiyle ilgili tüm bilgilerdir ve içinde bulunduğumuz elektronik çağ şartlarında veri aktarımı ve erişimi çok hızlı gerçekleşmektedir, bu yüzden tehlikeler mevcuttur ve korunmalıdırlar. Koruma tedbirleri bu yüzden öne çıkmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, 07 Nisan 2016 tarih ve 29677 sayılı karar ile yürürlüğe girmiştir. Bir kısım kişisel veriler, birileri tarafından öğrenildiğinde o kişnin mağdur olmasına, yargılanmasına, baskı altında kalmasına, ayrımcılığa uğramasına, haksızlığa uğramasına neden olabilir. Bunlar “özel nitelikli kişisel veriler’dir.” Özel nitelikli kişisel veriler, kanunda sayılı bir şekilde ( numerus clasus) belirtilmiştir ve kıyas yoluyla genişletilmesi mümkün değildir. Mesela kişisel sağlık verisi, kimliği belirli veya belirlenebilir kişiye ait her türlü sağlık verisini kapsar. Kişinin kullandığı ilaçlar, geçirdiği ameliyatlar, kronik rahatsızlıkları, gibi özel bilgilerini kapsar. Hiçbir birey, bu tür bilgilerinin herkes tarafından bilinmesini bu yolla yaşam alanının kısıtlanmasını istemez. Anayasa Mahkemesi; “ Kişisel Verilerin Korunması Hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı,…” diyerek bir kararında “temel haklar” olarak nitelemiştir. Kişisel verilerin ve özellikle sağlık verilerinin korunması özel düzenlemeler içermektedir. Ayrıca Sağlık Bakanlığı tarafından çıkarılan Kişisel Verilerin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik ile de kişisel sağlık verileri hem hassas kabul edilmiş ve hem de genel verilerden ayrılmıştır.
Kişisel verilerin korunması için gerekli eğitimlerin verilmesi, yetki kapsamlarının belirli olması, sürelerin yeterli olması, sistematik olarak yetki kontrollerinin yapılması ve gizlilik sözleşmelerinin yapılması gerekmektedir.
Alpertunga Budak
Avukat
Alpertunga Budak Hukuk & Danışmanlık Bürosu
